國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞643個，互聯網上出現“PHP Event Calendar Lite Edition存在SQL注入漏洞、Hitachi Vantara Pentaho訪問控制錯誤漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

【安全】防泄密！這些小知識請拿好！

根據《中華人民共和國刑法》第二百一十九條有下列侵犯商業秘密行為之一， 給商業秘密的權利人造成重大損失的，處三年以下有期徒刑或者拘役，并處或者單處罰金；造成特別嚴重后果的，處三年以上七年以下有期徒刑，并處罰金。>>詳細

警惕人臉識別使用的風險！

近兩年來攻擊方式及工具越發成熟：3D打印、面具攻擊、算法攻擊、前端造假、攝像頭劫持……針對人臉技術的攻擊一直在不斷的迭代升級。>>詳細

“斷卡”行動新進展：銀行、支付機構清理異?？?4.8億張

根據全國“斷卡”行動推進會通報，全國電信網絡詐騙犯罪發案數量連續3個月下降，月均涉案單位銀行賬戶數量同比大幅下降。>>詳細

【上銀支付】反詐拒賭 安全支付

電信網絡詐騙“陷阱重重”，跨境賭博“逢賭必輸十賭十騙”，詐騙手法千變萬化，但萬變不離其宗。我們一起將“三不一多、 六個一律，八個凡是”牢記心中?？炜觳亮裂劬?，守住我們的錢袋子~>>詳細

【全民反詐】小心新型詐騙！別讓“屏幕共享”變“共享錢包”！

近年來，隨著線上會議的廣泛運用?！捌聊还蚕怼钡氖褂靡仓饾u普及，給工作和生活帶來便利的同時，也被不法分子利用以實施新型詐騙。>>詳細

CFCA受邀參加“信任廣州”數字化平臺發布會 與廣州市政務數據服務管理局達成合作

“信任廣州”數字化平臺利用區塊鏈的可信共識、信息防篡改、應用可追溯等技術特性和數字證書的可信認證能力，結合CFCA無紙化電子簽章等產品打造可信認證平臺，為廣州市移動政務總門戶“穗好辦”等政務服務平臺提供電子印章申請、制作、簽署與舉證等服務。>>詳細

遼寧銀保監局：合理使用信用卡 理性適度消費

消費者如果無法按期履約，應按照合同條款約定與銀行提前協商溝通解決，不要輕信第三方“代理投訴”，保護個人信息安全，依法依規理性維權。>>詳細

信用卡交易密碼設置攻略，足不出戶輕松辦

信用卡密碼忘記了或者鎖定了怎么辦？別慌哦！快來一起學習如何通過手機銀行App辦理信用卡密碼設置業務吧。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年11月22日-28日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞643個，其中高危漏洞196個、中危漏洞411個、低危漏洞36個。漏洞平均分值為6.0。上周收錄的漏洞中，涉及0day漏洞426個（占66%），其中互聯網上出現“PHP Event Calendar Lite Edition存在SQL注入漏洞、Hitachi Vantara Pentaho訪問控制錯誤漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Microsoft產品安全漏洞

Microsoft Exchange Server是美國微軟（Microsoft）公司的一套電子郵件服務程序。它提供郵件存取、儲存。轉發，語音郵件，郵件過濾篩選等功能。Microsoft Windows和Microsoft Windows Server都是美國微軟（Microsoft）公司的產品。Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞提升權限，執行任意代碼。

CNVD收錄的相關漏洞包括：Microsoft Exchange Server遠程代碼執行漏洞（CNVD-2021-90307）、Microsoft Windows/Windows Server權限提升漏洞（CNVD-2021-90797、CNVD-2021-90800、CNVD-2021-90799、CNVD-2021-90798、CNVD-2021-90803、CNVD-2021-90802、CNVD-2021-90801）。其中，“Microsoft Windows/Windows Server權限提升漏洞（CNVD-2021-90800、CNVD-2021-90799、CNVD-2021-90801）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Advantech產品安全漏洞

Advantech R-SeeNet是中國臺灣研華（Advantech）公司的一個工業監控軟件。該軟件基于snmp協議進行監控平臺，并且適用于Linux。Windows平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在數據庫中執行任意SQL查詢，升級系統上的權限。

CNVD收錄的相關漏洞包括：Advantech R-SeeNet SQL注入漏洞（CNVD-2021-90861、CNVD-2021-90869、CNVD-2021-90860、CNVD-2021-90864、CNVD-2021-90863、CNVD-2021-90862、CNVD-2021-90868）、Advantech R-SeeNet權限提升漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe After Effects（簡稱“AE”）是Adobe公司推出的一款圖形視頻處理軟件，適用于從事設計和視頻特技的機構，包括電視臺、動畫制作公司，個人后期制作工作室以及多媒體工作室。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe After Effects內存緩沖區越界訪問漏洞（CNVD-2021-89928、CNVD-2021-89937、CNVD-2021-89929、CNVD-2021-89930、CNVD-2021-89931、CNVD-2021-89932、CNVD-2021-89935、CNVD-2021-89934）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Mozilla產品安全漏洞

Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞提升權限，執行任意代碼等。

CNVD收錄的相關漏洞包括：Mozilla Firefox拒絕服務漏洞（CNVD-2021-89693）、Mozilla Firefox緩沖區溢出漏洞（CNVD-2021-89692、CNVD-2021-90097、CNVD-2021-90096、CNVD-2021-90100、CNVD-2021-90103）、Mozilla Firefox權限許可和訪問控制問題漏洞（CNVD-2021-90104、CNVD-2021-90106）。其中，“Mozilla Firefox拒絕服務漏洞（CNVD-2021-89693）、Mozilla Firefox權限許可和訪問控制問題漏洞（CNVD-2021-90104）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Amazon AWS SDK信息泄露漏洞

Amazon AWS SDK for Android是美國亞馬遜（Amazon）公司的一款基于Andorid平臺的用于Amazon Web Services（AWS）的軟件開發工具包。上周，Amazon AWS SDK 1.7.22及之前版本被披露存在信息泄露漏洞。攻擊者可利用該漏洞通過讀取程序中以明文形式存儲的憑據訪問AWS S3開發人員文件導致信息泄露。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Microsoft產品被披露存在多個漏洞，攻擊者可利用該漏洞提升權限，執行任意代碼。此外，Advantech，Adobe，Mozilla等多款產品被披露存在多個漏洞，攻擊者可利用漏洞在數據庫中執行任意SQL查詢，提升權限，執行任意代碼等。另外，Amazon AWS SDK 1.7.22及之前版本被披露存在信息泄露漏洞。攻擊者可利用該漏洞通過讀取程序中以明文形式存儲的憑據訪問AWS S3開發人員文件導致信息泄露。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國證券報·中證網、證券日報、中國光大銀行、平安銀行、上海銀行、南京銀行、貴州銀行報道

責任編輯：韓希宇